È estremamente probabile che pochissimi cittadini italiani sappiano che è possibile attivare e quindi avere più di uno SPID (Sistema Pubblico di Identità Digitale). Infatti, la normativa vigente lo rende possibile, e l'aumento della digitalizzazione e l’ampia diffusione dello SPID stanno facendo emergere nuovi e seri rischi legati alla duplicazione fraudolenta di identità digitali. I recenti casi, denunciati anche dalla interessante puntata live di 24 Plus di Radio24, evidenziano come malintenzionati possano facilmente creare più SPID a nome di un cittadino inconsapevole, sfruttando vulnerabilità tecniche e falle nelle procedure di verifica.
Perché si può avere più di uno SPID?
Il problema nasce dalla possibilità, permessa dalla normativa vigente, di attivare più SPID per una sola persona. Questa possibilità è stata introdotta per garantire agli utenti una maggiore disponibilità e continuità di servizio: se un gestore SPID risulta momentaneamente non raggiungibile o sotto attacco informatico, l'utente può utilizzare un altro provider per accedere ai servizi digitali. Tuttavia, ogni Identity Provider (gestore autorizzato a rilasciare credenziali SPID) opera indipendentemente, senza un sistema centralizzato che avvisi l'utente quando viene aperto un nuovo SPID a suo nome. Questa assenza di comunicazione consente ai truffatori di falsificare facilmente l'identità digitale di una persona.
Le tecniche utilizzate dai criminali includono l'acquisto di documenti veri sul dark web, la creazione di SIM telefoniche anonime o intestate a prestanome, e l'apertura di account e-mail falsi associati alla vittima.
La situazione è ulteriormente aggravata dall’utilizzo dell'Intelligenza Artificiale generativa. Applicazioni avanzate permettono di creare documenti di identità digitali estremamente realistici e addirittura video deepfake con volti modificati in tempo reale, capaci di superare facilmente anche controlli video dei gestori SPID. In alcuni casi, i criminali possono utilizzare persone reali fisicamente somiglianti ai titolari originali dei documenti per aggirare più facilmente i controlli basati sul riconoscimento visivo.
ChatGPT ora può generare immagini nativamente, e i risultati sono strepitosi: gratis per tutti
Gli Identity Provider verificano la corrispondenza e la veridicità dei documenti attraverso personale specializzato (Registration Authority Officer - RAO), che analizza i documenti ricevuti, ne controlla la validità tramite banche dati ufficiali e verifica visivamente la corrispondenza tra il richiedente e la foto del documento presentato, spesso tramite videochiamata o selfie con documento.
Tuttavia, non tutti gli Identity Provider utilizzano le stesse tecniche di verifica con uguale rigore, ed è ormai noto che i malintenzionati provino frequentemente a sfruttare gli Identity Provider meno rigorosi o meno scrupolosi nelle procedure di autenticazione.
Cosa può succedere se viene "duplicato" uno SPID?
Le conseguenze di queste frodi sono drammatiche: possono essere aperti conti correnti bancari, attivate partite IVA, richiesti finanziamenti o persino dirottati accrediti pensionistici o indennizzi verso conti controllati dai criminali. Una volta effettuata la duplicazione, il titolare legittimo potrebbe accorgersi troppo tardi della truffa, con gravi danni finanziari e personali.
La normativa deve aggiornarsi
La responsabilità principale per evitare queste frodi ricade sugli Identity Provider, che devono adottare urgentemente misure di sicurezza più rigorose. Dal punto di vista delle norme, invece, un efficace intervento legislativo potrebbe essere quello di introdurre un sistema centralizzato obbligatorio che avvisi immediatamente il cittadino tramite mail o SMS quando viene aperto un nuovo SPID a suo nome, sebbene anche questi sistemi potrebbero dare vita a tentativi di phishing. In ogni caso, un avviso permetterebbe alla persona di intervenire tempestivamente per bloccare eventuali tentativi di frode.
SPID Aruba non è più gratuito, costerà 6 euro annui: fondi governativi bloccati per favorire la CIE?
La soluzione è la Carta d'Identità Elettronica?
In questo contesto, la Carta d’Identità Elettronica (CIE) rappresenta una soluzione più sicura e affidabile rispetto allo SPID. Grazie ai sofisticati sistemi di sicurezza incorporati, come il microchip contactless contenente dati biometrici (foto e impronte digitali - con le impronte digitali accessibili solo da autorità autorizzate come le forze dell’ordine), la CIE riduce notevolmente la possibilità di falsificazione. L'accesso ai servizi online tramite CIE richiede infatti una verifica fisica attraverso lettori NFC e l'utilizzo di codici PIN personali, difficilmente duplicabili senza la presenza fisica della carta stessa.
Come accedere in sicurezza ai servizi online con la Carta d'Identità Elettronica
La CIE permette tre livelli di autenticazione, aumentando progressivamente la sicurezza: dall'utilizzo di username e password, passando per codici OTP (One Time Password), fino appunto alla lettura diretta della carta tramite dispositivi NFC, che garantisce la massima sicurezza (livello3). Qui sotto, un video che spiega come attivare entrare con CIE tramite il livello 3 di protezione.
Quest'altro video, invece, mostra la procedura di autenticazione di livello 3 da computer con il lettore di carta.
Ma questo accesso via PC può essere completato anche usando parallelamente lo smartphone, dato che è molto più probabile che si possieda questo dispositivo invece del lettore di carte. Di seguito una schermata esplicativa di questo sistema di accesso ibrido.
127 Commenti